Q. 해외 클라우드 서비스 사업자에 대한 국내 법규 적용사례가 있는가? 구글이나 MS 등의 글로벌 클라우드 서비스를 이용할 경우 개인정보의 법적 규제는 어떻게 적용 받게 되는지 궁금하다.

A-1. 클라우드 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 차세대 IT 서비스로서, 이용자가 데이터를 위탁하고 인프라, 플랫폼, 어플리케이션 서비스를 제공받는 위탁/제공의 간단한 구조를 기반으로 운영되고 있다.




그러나 이에 따른 위험이 존재하고 있다. 서버 해킹, 서비스 관리자의 실수 등으로 인한 정보유출, 기술적인 시스템 및 서비스 장애, 정보주체의 데이터 통제권 약화(프라이버시) 등이 그것이다.

특히, 해외 클라우드 서비스 제공자에 의해 전 세계 클라우드 시장이 주도되는 가운데, 서버가 물리적으로 여러 나라에 분산되면서 데이터의 국제적 이동으로 인해 발생하는 정보보호법규 적용의 혼란(컴플라이언스) 문제가 매우 심각하다. 서비스 제공자에게 적용되는 개인정보보호 기준, 서비스 관련 분쟁 시 적용되어야 하는 준거법 및 재판관할권, 구제절차 등이 국내관련 법령이 아닌 해당 국가의 법률의 적용을 받고 있기 때문이다.

우리나라에서 클라우드 서비스 제공자는 ‘개인정보 보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 개인정보보호와 이용자 보호 규정, ‘전기통신사업법’과 ‘전자상거래 등에서의 소비자 보호법’의 이용자보호 규정, ‘정보통신산업진흥법’과 ‘국가정보화 기본법’의 서비스 및 산업진흥규정 등에 의해 규제받고 있다. 다만, 서버를 해외에 두고 서비스를 제공하는 클라우드 사업자는 준거법과 관할의 문제로 인해 해당 국가의 법률을 적용받고 있는 경우가 대부분이다.

이에 클라우드 서비스를 제공하고 이용할 경우에는 반드시 데이터 및 개인정보가 저장되는 서버의 국가 위치가 명확하게 고지되고 확인되어야 한다.

서버가 위치한 국가에 따라 적용되는 개인정보보호 관련법이 국내법과 상이해 이용자가 정보통제권을 행사하기 어려울 수 있으므로 서비스 제공자는 해당 서버가 준수하는 개인정보관련 법규를 명확히 안내해야 한다.

반면 서비스 이용자는 이용에 앞서 서비스 제공자의 개인정보 처리방침 등을 확인하고 해외사업자인지 국내사업자인지, 이용자 개인정보의 소유권이 누구에게 있는 것인지, 서비스제공자가 이용자 개인정보를 접근·이용·가공하는지 등을 꼼꼼하게 확인해야 한다.

기업 서비스 이용자의 경우에도 해외 클라우드 서비스 도입시 추가적으로 국내에 지사가 설립되어있는지, 국내법을 준수함을 명시적으로 제시하는 등을 꼼꼼하게 검토하여야 한다.

그리고 개인 서비스 이용자는 필요한 경우 제공자에게 개인정보의 열람·정정·삭제 등을 요구해 자신의 개인정보를 지키기 위한 권리를 적극적으로 행사해야 한다.
(김두현 한국정보화진흥원 개인정보보호사업부 부장/duhyun@nia.or.kr)

A-2. 해외 서비스 제공자가 국내 고객에 대해 클라우드 서비스를 제공할 때는 국내 법규의 적용을 받아야 한다. 그중 가장 큰 문제가 개인정보의 국외 이전에 관한 요구사항이라고 볼 수 있다.

왜냐하면, 개인정보보호법에 의하면 개인정보를 국외로 이전할 때는 정보주체의 권리가 침해되지 않도록 시책을 마련해야 한다고 정의되어 있기 때문이다. 이는 클라우드 서비스 제공자가 개인정보를 국외로 이전할 때 반드시 지켜야 할 법 준수 사항으로 이해된다. 그러나 이 규정이 너무 추상적이므로, 이에 대한 구체화가 요구된다고 볼 수 있다.
(염흥열 순천향대학교 정보보호학과 교수/hyyoum@sch.ac.kr)

A-3. 한국의 관련법에서는(구글과 같은) 전기통신서비스 제공업체는 개인정보의 분실, 유출, 변경 혹은 손상을 예방하기 위해 다음과 같은 기술적·행정적 조치를 취해야 한다고 명시되어 있다.

① 개인정보를 안전하게 취급하기 위하여 내부관리 시스템을 구축, 시행한다.
② 개인정보에 대한 불법 침해를 예방하기 위해 접근제어 시스템을 설치, 운영한다.
③ 로그인 기록과 정보의 위조와 변경을 막기 위한 조치를 취한다.

④ 개인정보를 안전하게 저장, 전송하기 위하여 암호화 기술을 이용하는 보안조치를 취한다.
⑤ 백신 소프트웨어의 설치와 운영처럼 컴퓨터 바이러스를 예방하기 위한 조치를 취한다.
⑥ 개인정보의 보안을 확보하기 위해 다른 필요한 조치를 취한다. 또한, 국외 클라우드 서비스 제공자는 정보주체에게 수집목적, 수집항목, 보유기간뿐만 아니라, 정보의 저장국가(서버의 위치), 서비스 제공자에게 적용되는 개인정보 법규, 서비스 관련 분쟁 시 적용되어야 하는 준거법 및 재판관할권, 구제절차 등도 공개·고지해야 한다.

특히, 이용약관, 데이터처리방침, 개인정보처리방침에 저장국가와 이용국가가 달라서 발생할 수 있는 문제점을 해결할 수 있는 제반 규정을 반드시 포함시켜야 한다.
(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)


[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>